Czym jest certyfikat SSL (HTTPS)?

Certyfikat SSL (HTTPS, ang Hypertext Transfer Protocol Secure), to rodzaj uwierzytelnienia, które szyfruje dane przesyłane po stronie serwera strony internetowej, tak aby tylko klient (przeglądarka internetowa) mogła je odczytać. SSL pomaga więc w zabezpieczeniu przed przejęciem danych przesyłanych po drodze.

Certyfikat SSL zabezpiecza wszelkie poufne dane, które widzisz na stronie www, na przykład gdy jesteś zalogowany do serwisu bankowego. Działa to też w drugą stronę i dzięki protokołowi HTTPS nikt nie może zobaczyć np. danych kart kredytowych, które podajesz podczas zakupów w sklepie internetowym.

Czy certyfikat SSL jest mi potrzebny?

W większości przypadków używanie certyfikatu SSL będzie wskazane, wynika to po prostu z zasad bezpieczeństwa. Prawie każda strona internetowa (w szczególności te komercyjne) przetwarza dane. Mogą do być dane osobowe (newsletter, formularz kontaktowy), transakcje (w sklepach internetowych), informacje o zamówieniach itd.

Jeśli prowadzisz bloga hobbistycznego z małym ruchem i w ogóle nie zarabiasz na jego działalności, możesz odpuścić ten temat. Z drugiej strony w wielu przypadkach instalacja certyfikatu SSL jest bardzo tania lub nawet darmowy certyfikat SSL jest łatwo dostępny. Za taką cenę zyskujesz zaufanie użytkowników i wiarygodność Twojej witryny.

Czy SSL wpływa na SEO / pozycjonowanie strony?

Na początku muszę zaznaczyć, że w ostatnich latach Google bardzo promowało, a nawet zmuszało właścicieli stron internetowych do wdrażania certyfikatów SSL. Wynika to jednak z chęci zwiększenia bezpieczeństwa w internecie.

Oczywiście nie da się tego jednoznacznie stwierdzić, jednak bazując na tym co obserwujemy w wynikach wyszukiwania — posiadanie certyfikatu SSL nie wpływa na wyższe pozycje, lepszy ruch itd. Jeśli dodasz protokół HTTPS do swojej strony, nie zwiększy to zasięgów Twojej domeny.

W zasadzie jeśli wdrożenie będzie niewłaściwe, może to stworzyć zagrożenie i chwilową utratę ruchu, o czym napisze w dalszej części tego artykułu.

Czy to oznacza, że nie warto się interesować certyfikatem SSL w kontekście SEO?

Zdecydowanie nie, certyfikat SSL jest ważny z punktu widzenia użytkownika i jego postrzegania własnego bezpieczeństwa. Twoi klienci będą się czuli o wiele lepiej, jeśli będą widzieć, że dbasz o ich bezpieczeństwo. Certyfikat SSL bardziej niż na pozycjonowanie stron internetowych wpływa na sprzedaż, czyli większa ilość klientów kupi w Twoim sklepie internetowym, czy wyśle więcej zapytań przez formularz kontaktowy.

Chcesz się nauczyć skutecznie pozyskiwać klientów z Google? Zobacz nasz kurs SEO, który jest instrukcją działania krok po kroku.

Jak sprawdzić, czy mam certyfikat SSL?

Sprawdzenie certyfikatu SSL jest dość proste. Aby sprawdzić, czy Twoja strona www używa HTTPS, kliknij ikonę kłódki znajdującej się na lewo od paska adresu przeglądarki. W zależności od stanu czy przeglądarki internetowej może ona mieć różną formę (otwarta lub zamknięta) i kolor (zielony, szary, czerwony).

Po kliknięciu w ikonę zobaczysz szczegółowe informacje o stanie szyfrowania połączenia z serwerem oraz używanym protokole — HTTP lub HTTPS. Poniżej grafika prezentująca taką informację dla naszej strony w Google Chrome:

Informacja o certyfikacie SSL oraz używanym protokole.

Na powyższym przykładzie widzisz, że połączenie jest bezpieczne — certyfikat SSL działa prawidłowo przez protokół HTTPS. Nie zawsze tak będzie, oto inne stany, które mogą się pojawić:

  • Bezpieczna: Zablokuj 
  • Informacje lub Niezabezpieczona: Wyświetl informacje o witrynie 
  • Niezabezpieczona lub Niebezpieczna: Niebezpieczna 

W przypadku drugiego statusu oznaczonego ikoną informacji certyfikat jest zainstalowany, ale są pewne problemy z jego używaniem. Najczęstszą przyczyną tego są dwa problemy:

  • Zasoby są dostępne w obu protokołach — w sumie to nic złego, ale Twoja witryna jest dostępna zarówno po protokole HTTP, jak i HTTPS. W takim przypadku najlepiej zrobić odpowiednie przekierowania. Napiszę jeszcze o tym później w części poświęconej migracji z HTTP na HTTPS.
  • Część elementów strony nadal ładuje się tylko po HTTP, zamiast używać protokołu SSL. To także problem związany z migracją, działa to tak, że strona co prawda jest dostępna przez HTTPS i poprawnie używa certyfikatu SSL, jednak pewne jej zasoby (pliki js, css czy grafiki) nie są ładowane z użyciem HTTPS. Problem leży zazwyczaj w adresowaniu — trzeba będzie zamienić HTTP na HTTPS w adresie URL każdego z plików.

Jakie certyfikaty SSL mamy do wyboru?

Certyfikat SSL występuje w kilku rodzajach, a raczej poziomach bezpieczeństwa, które omówię po krótce.

Certyfikaty SSL DV (Domain Validation)

Certyfikaty SSL DV (Domain Validation) gwarantują szyfrowanie transmisji informacji w certyfikowanej domenie. Są to najpopularniejsze i najprostsze certyfikaty SSL (najprostsze w zakresie wydawania). Podczas wydawania certyfikatu następuje weryfikacja domeny i tylko na tym bazuje cały certyfikat.

Zakończenie procesu weryfikacyjnego ogranicza się do potwierdzenia zamówienia certyfikatu SSL wysyłanego na adres e-mail „admin@twojadomena.pl”. Adres musi istnieć w domenie, dla której kupuje się certyfikat, w tym przypadku byłaby to domena: „domena-klienta.pl”. Kliknięcie linka wysłanego przez wystawcę certyfikatu na adres np. admin@twojadomena.pl jest jedyną weryfikacją, że jest się właścicielem domeny, dla której chce się uzyskać certyfikat. Po kliknięciu linka certyfikat jest wystawiany.

Gdy zajrzymy do szczegółów certyfikatu, znajdziemy tam informacja o domenie, ale nie będzie tam żadnych informacji o firmie, dla której został on wydany.

Taki podstawowy certyfikat kosztuje około 100 zł rocznie (lub może być nawet darmowy). W 99% przypadków taki certyfikat SSL jest w zupełności wystarczający.

Certyfikaty SSL OV (Organization Validation)

Certyfikaty OV to certyfikaty SSL o rozszerzonym sposobie weryfikacji. Zanim zostanie wystawiony, musi nastąpić weryfikacja danych w oparciu o odpowiednie dokumenty rejestrowe Twojej firmy. Najczęściej trzeba przesłać mailem, faksem lub pocztą tradycyjną dokumenty, które potwierdzą dane firmy.

Różnica w stosunku do certyfikatów DV to dopisanie firmy, na jaką jest wystawiony certyfikat w szczegółach certyfikatu. Z punktu widzenia klienta, który korzysta ze strony przeglądarki, takie certyfikaty SSL wyświetlają identyczną zieloną kłódkę jak w przypadku certyfikatów DV.

Koszt takiego certyfikatu to kwoty rzędu kilkuset złotych rocznie.

Certyfikaty SSL EV (Extended Validation)

Certyfikaty SSL EV (Extended Validation) to najbardziej zaawansowany typ certyfikatu i wymaga dużej liczby formalności. Certyfikaty SSL EV zapewniają najwyższy poziom bezpieczeństwa. Przy jego zakupie jednostka wydająca certyfikat SSL kontaktuje się bezpośrednio z firmą, która chce go zdobyć i prosi o podesłanie dużej ilości dokumentów potwierdzających bezpieczeństwo. Procedura uzyskiwania certyfikatu jest zwykle znacznie dłuższa.

Z takiego zaawansowanego certyfikatu SSL korzystają zazwyczaj duże organizacje czy instytucje finansowe takie jak banki. Posiadanie takiego certyfikatu jest dobrze widoczne z poziomu przeglądarki internetowej, ponieważ obok zielonej kłódki będziesz w stanie zobaczyć nazwę organizacji.

Co z darmowymi certyfikatami SSL?

W sieci istnieje wiele rozwiązań darmowych związanych z certyfikatami SSL. Najbardziej znanym będzie tutaj Let’s Encrypt, który jest darmowym i w pełni funkcjonalnym certyfikatem typu wildcard (obejmuje domeny głównej i subdomeny). Kolejną usługą, która oferuje darmowe certyfikaty jest Cloudflare, serwis pomagający w zabezpieczeniach i przyspieszeniach stron internetowych.

Zapewne zastanawiasz się, czy warto inwestować w darmowy certyfikat SSL?

Z technicznego punktu widzenia, darmowy certyfikat SSL nie różni się niczym od tego płatnego. Oba te certyfikaty SSL posiadają identyczne szyfrowanie danych i takie same zabezpieczenia. Jedyna różnica to gwarancja. Oczywiście istnieje kilka różnic, jednak nie wpływają one w żaden sposób na bezpieczeństwo, a bardziej na sposób działania czy instalację certyfikatu SSL.

Pierwsza różnica to czas, na jaki wystawiany jest certyfikat SSL. Ten płatny wystawiany jest na okres jednego roku. Darmowy certyfikat Let’s Encrypt wystawiany jest na okres 3 miesięcy. Nie jest to jednak problemem, ponieważ certyfikat ten, odświeża się sam, gdy do końca okresu pozostaje mniej niż miesiąc. W zasadzie posiadasz więc certyfikat o nieokreślonym czasie.

Ogólnie mówiąc, jeśli nie jesteś bankiem lub instytucją zaufania publicznego, to w 99,9% przypadków darmowy certyfikat SSL będzie dla Ciebie wystarczającym rozwiązaniem.

Zagrożenia związane z SEO

Instalacja certyfikatu SSL jest oczywiście promowana przez Google, musisz jednak pamiętać, że należy go poprawnie wdrożyć. W innym przypadku możesz zrobić swojej stronie www więcej problemów niż będzie pożytku z wdrożenia protokołu HTTPS.

Przede wszystkim należy pamiętać o problemie duplikacji treści. Jeśli zainstalujesz certyfikat SSL, to każda podstrona w Twoim serwisie będzie posiadać dwie wersje (tą standardową z HTTP oraz nową z HTTPS):

  • https://octamedia.pl/blog/ssl-a-seo/
  • http://octamedia.pl/blog/ssl-a-seo/

Teoretycznie, dla robotów Google to dwie zupełnie odrębne podstrony i nie będzie wiedział, którą z nich pokazać jako wynik wyszukiwania. Efektem tego, może być stan, w którym posiadasz certyfikat SSL, ale Google kieruje ruch na wersję bez HTTPS.

Jak tego uniknąć?

Musisz zadbać o dwie ważne kwestie. Pierwszą z nich są przekierowania — powinieneś sprawić, aby każdy adres URL bez HTTPS, automatycznie przekierował na wersję z HTTPS, czyli na wersję z certyfikatem SSL. Da się to zrobić za pomocą opcji na hostingu czy nawet wtyczek w różnych systemach CMS.

Druga kwestia to linkowanie wewnętrzne i odnośniki do zasobów takich jak grafiki czy style css. Wszystkie linki do tych zasobów powinny operować na wersji z HTTPS. Oznacza to, że jeśli linkujesz do innej podstrony, to musisz zaktualizować ten link, aby używał on wersji z HTTPS.

Te dwie podstawowe zasady prawdopodobnie uchronią Cię przed utratą ruchu.

Certyfikat SSL a spadek ruchu w Google Search Console

Po instalacji certyfikatu SSL możesz zauważyć nagły spadek ruchu w Google Search Console. Od razu Ci powiem — to nie jest realny spadek wejść na stronę. Jeśli wszystko zrobiłeś poprawnie, to utrata ruchu jest pozorna. Dla Google wersje strony bez HTTPS i z HTTPS to zupełnie różne strony – będziesz musiał po prostu zweryfikować nową stronę używając adresu z HTTPS.

Wyjątkiem, gdzie nie trzeba będzie nic robić jest weryfikacja GSC na poziomie domeny. W takim przypadku Google używa danych ze wszystkich wersji domeny (z certyfikatem SSL oraz bez).

Wdrożenie certyfikatu SSL – instrukcja

Certyfikat SSL (HTTPS) to rodzaj uwierzytelnienia, który szyfruje dane przesyłane między serwerem www a przeglądarką internetową, zabezpieczając je przed przechwyceniem przez osoby trzecie. Posiadanie certyfikatu SSL zwiększa zaufanie do Twojej witryny oraz poprawia jej wizerunek w oczach Google. Poprawne wdrożenie certyfikatu jest kluczowe, by uniknąć problemów z duplikacją treści i potencjalnego spadku ruchu.

Jak wdrożyć certyfikat SSL – krok po kroku

  1. Wybierz rodzaj certyfikatu – zdecyduj, który typ certyfikatu jest odpowiedni dla Twojej strony:
    • DV (Domain Validation) – podstawowy certyfikat, weryfikuje tylko własność domeny, wystarczający dla większości stron (koszt ok. 100 zł/rok lub darmowy)
    • OV (Organization Validation) – dodatkowo weryfikuje dane Twojej firmy (koszt kilkaset zł/rok)
    • EV (Extended Validation) – certyfikat przeznaczony głównie dla banków i instytucji finansowych, zapewnia najwyższy poziom bezpieczeństwa
  2. Uzyskaj certyfikat SSL:
    • Opcja darmowa: Let’s Encrypt – zainstaluj certbot i wygeneruj certyfikat
    • Opcja płatna: zakup certyfikat u dostawcy (np. Comodo, DigiCert, Certum SSL), wygeneruj CSR (Certificate Signing Request) z kluczem publicznym na serwerze i prześlij do weryfikacji
  3. Zainstaluj certyfikat na serwerze w zależności od używanego oprogramowania:
    • Apache: umieść pliki certyfikatu w odpowiednim katalogu i skonfiguruj plik VirtualHost
    • Nginx: umieść pliki certyfikatu w katalogu i zaktualizuj konfigurację serwera
    • IIS: zaimportuj certyfikat w formacie PFX i przypisz go do witryny
  4. Skonfiguruj przekierowania z HTTP na HTTPS – kluczowe dla SEO:
    • Apache: użyj modułu mod_rewrite w pliku .htaccess
    • Nginx: ustaw przekierowanie 301 w konfiguracji serwera
    • IIS: użyj modułu URL Rewrite
  5. Zaktualizuj linki wewnętrzne – wszystkie odnośniki do zasobów (obrazy, CSS, JS) oraz linki wewnętrzne powinny używać protokołu HTTPS zamiast HTTP, aby uniknąć problemów z „mixed content”
  6. Sprawdź poprawność wdrożenia:
    • Kliknij ikonę kłódki w pasku adresu przeglądarki, by zweryfikować status certyfikatu
    • Użyj narzędzi online (SSL Labs, SSL Checker) do oceny konfiguracji
    • Sprawdź, czy wszystkie elementy strony ładują się przez HTTPS
  7. Zaktualizuj dane w Google Search Console – dodaj nową wersję strony z HTTPS jako osobną własność i zweryfikuj ją, aby monitorować jej wydajność w wynikach wyszukiwania
  8. Ustaw automatyczne odnawianie certyfikatu – dla Let’s Encrypt skonfiguruj zadanie cron, dla certyfikatów komercyjnych ustaw przypomnienia o odnowieniu

Pamiętaj, że poprawna instalacja certyfikatu SSL nie tylko zwiększa bezpieczeństwo i ochronę danych, ale także pomaga uniknąć problemów z duplikacją treści, które mogłyby negatywnie wpłynąć na pozycjonowanie Twojej strony www. Protokół SSL wykorzystuje klucz prywatny i klucz publiczny do szyfrowanego połączenia, co jest szczególnie ważne przy obsłudze płatności online.

Podsumowanie

Aktywować certyfikat SSL jest już raczej koniecznością. Co prawda nie wiele to pomoże w kwestii związanej z obecnością w Google. Nie zdobędziesz więcej ruchu czy lepszych pozycji, ale za to jego obecność wpłynie na poczucie bezpieczeństwa, a ta może zwiększyć sprzedaż na Twojej stronie. Intencją twórców SSL było zaprojektowanie bezpiecznego środowiska dla użytkowników internetu, a dziś brak certyfikatu SSL może odstraszyć potencjalnych klientów. Certyfikat SSL zabezpieczy wszystkie formularze i transakcje na Twojej witrynie, a użytkownicy docenią, że dbasz o bezpieczeństwo ich danych osobowych.